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Beschreibung 

Verfahren und Vorrichtung fur die Ferniibertragung sensibler 
Daten 

Die Erfindung betrifft ein Verfahren und eine Vorrichtung fur 
die Ferniibertragung sensibler Daten. Unter sensiblen Daten 
sollen dabei solche Daten verstanden werden, die teilweise 
geheimhaltungsbediirf tig sind, also geheimhaltungsbedtirf tige 
Datenbestandteile enthalten . 

^j|pie moderne Kommunikationstechnologie ermoglicht die Ubertra- 
gung vielf altigster Daten zwischen verschiedenen Orten. Zur 
Verarbeitung und Obertragung der Daten werden in aller Regel 
Rechner benutzt, die iiber lokale Netzwerke, Telef onverbindun- 
gen, kabellose Schnittstellen oder das Internet miteinander 
verbunden sein konnen. Die Obertragung von Daten liber diese 
Verbindungen ist meist abhorbar und es existiert eine Viel- 
zahl von Mechanismen zu deren kryptograf ischem Schutz. Diese 
Mechanismen zielen entweder darauf ab, den gesamten Kommuni- 
kationsweg zu schlitzen, oder sie dienen der Verschlusselung 
von kompletten Dateien bzw. Datenbanken. 

Ein wirksamer Schutz von Daten ist insbesondere auf dem Ge- 
biet der Medizin, in Forschung und Entwicklung sowie im Fi- 
nanzgewerbe gefragt. Auf diesen Gebieten ist die Kommunikati- 
on von Daten eminent wichtig, ebenso die Verwendung von Rech- 
nern zur Verarbeitung von Daten. Die Rechnersysteme und Kom- 
munikationswege sind weitestgehend kryptograf isch gegen Aus- 
horchung geschutzt . 

Aufgrund der Vielzahl im Einsatz befindlicher Rechnersysteme, 
die teilweise hoch komplex sind, sind intensive Wartungsmaii- 
nahmen nicht zu vermeiden. Diese konnen auch unvorhergesehen 
und in unregelmafiigen Zeitabstanden erforderlich werden, z.B. 
bei Auftreten von Fehlern. Abhangig davon, welche Teile des 
Rechnersystems von Fehlern betroffen sind, kann es erforder- 
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lich sein, bei der Wartung auch Anwendungen, die sensible Da- 
ten verarbeiten, beispielsweise einem Wartungstechniker zu 
zeigen. Dies kann bereits bei einer Wartungsmafinahme vor Ort 
nicht akzeptabel sein, falls der Wartungstechniker nicht zu 
einem fur die Kenntnis der sensiblen Daten autorisierten 
Kreis von Personen gehdrt. Um so kritischer ist der Urns t and 
bei Fernwartungsmalinahmen zu beurteilen, bei dem beispiels- 
weise Funktionen von Anwendungsprogrammen oder Bildschirmin- 
halte uber grundsatzlich ungeschiitzte Kommunikationswege U- 
IX) bertragen werden mussen. 



4 



Zum Beispiel kann es erforderlich sein, bei der medizinischen 
Untersuchung eines Patienten mit einem rechnergesteuerten Di- 
agnosegerat einen Wartungsf achmann hinzuzuziehen, um eine Op- 
15 timierung oder das Beheben von Fehlern im System zu ermogli- 
chen, die wahrend der rechnergestut zten diagnostischen Anwen- 
dung auftreten. Ahnliche Problemstellungen konnen sich bei- 
spielsweise ergeben, wenn Fehler in einer rechnergestut zten 
Finanzanwendung auftreten, die dem Wartungsf achmann im lau- 
20 fenden Betrieb vorgefuhrt werden mussen. Bei der Einsichtnah- 
me in laufende Systeme ist es unvermeidlich, dass auch ge- 
heimhaltungsbedurf tige Datenbestandteile einsehbar werden. 

Neben der Wartung kann die Einsichtnahme in die Rechnersyste- 

*u25 me auch zu Schulungszwecken erforderlich sein, um die Bedie- 
V ■ ■ 

< nung komplexer Anwendungen demonstrieren zu konnen. Dies ist 

haufig nur dann moglich, wenn ein Datenbestand zur Verftigung 
steht, mit dem die Anwendung arbeiten kann, ohne dass es auf 
den tatsachlichen Inhalt der Daten ankame. Die Schulung von 
30 Personen, die nicht zur Einsichtnahme in den Datenbestand au- 
torisiert sind, verbietet sich dann jedoch von selbst.. 

Weiter kann die Einsichtnahme gerade in medizinischen Umge- 
bungen auch im Rahmen von sogenannten Expertensystemen erfor- 
35 derlich sein, bei denen andere klinische Experten zur Beur- 
teilung klinischer Daten herangezogen werden. Dabei ist es 
erforderlich, dass dem herangezogenen -Experten Daten wie dia- 
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gnostische Aufnahmen oder die Pathogenese eines Patienten zu- 
ganglich gemacht werden. Dadurch werden zwangslaufig perso- 
nenbezogene Daten der Patientenakte mit ubertragen und da- 
durch moglicherweise auch nicht autorisierten Betrachtern der 
5 Daten mitgeteilt . 

Ein besonders schneller und effizienter Datenaustausch findet 
meist liber eine Datenf ernubertragung statt. Dies gilt fur 
Schulungsmaftnahmen und Expertensysteme ebenso wie fur Fern- 
> ; 10 wartungsmafinahmen, durch die Wartezeiten bis zum Erscheinen 
des Wartungspersonals vor Ort vermeidbar sind. Aufierdem kon- 
nen auch fur Wartungsf achleute Expertensysteme nutzbar ge- 
macht werden. Zur Fernwartung stehen Moglichkeiten zur Verfu- 
gung, die Daten in einem Anwendungsrechner durch einen ent- 

15 fernt arbeitenden Wartungsf achmann einzusehen. Dies schliefit 
die Einsichtnahme in Festplattendaten ebenso wie in laufende 
Prozessdaten im Arbeitsspeicher ein, zudem konnen auch Bild- 
schirminhalte ubertragen werden, urn aktuelle Meldungen ein- 
sehbar zu machen und das Bildschirmgeschehen gemeinsam nach- 

20 vollziehen zu konnen. Die Fernwartung spezieller Anwendungen 
setzt dabei voraus, dass sowohl beim Anwendungsrechner als 
auch beim entfernten Wartungsrechner kompatible Hardware und 
Software vorhanden ist. 

yL25 Mit den Moglichkeiten der Fernwartung insbesondere medizi- 
\ nisch-diagnostischer Gerate, die rechnergestlit zt arbeiten, 

z.B. CT-Tomographen, MR-Scanner oder Bildarchiv-Workstations , 
setzt sich die DE 196 51 270 C2 auseinander. Dort werden Lo- 
sungen vorgeschlagen, urn die Fernwartung flexibel zu gestal- 
30 ten, indem einheitlich gemeinsame Programmiersprachen wie 

z.B. HTML verwendet werden. Eine Moglichkeit, die Betrachtung 
sensibler Daten durch den Wartungstechniker zu verhindern, 
wird jedoch nicht angeboten. 

35 Die Aufgabe der Erfindung besteht darin, eine Moglichkeit zur 
Einsichtnahme in rechnergestiitzt arbeitende Anwendungen zu 
geben, die dem Einsichtnehmenden einen moglichst umfassenden 
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Einblick in die Daten und Prozesse des Anwendungsrechners 
gestattet, ohne jedoch gleichzeitig die Moglichkeit zur Ein- 
sicht in geheimhaltungsbedur f tige Daten zu schaffen. 

5 Die Erfindung lost diese Aufgabe durch ein Verfahren mit den 
Merkmalen des ersten Patentanspruchs und durch eine Vorrich- 
tung mit den Merkmalen des achten Patentanspruchs. 

Ein Grundgedanke der Erfindung besteht darin, samtliche Daten 
ft 10 in einer rechnergestiit zten Anwendung zwar zur Betrachtung o- 
der Fernubertragung zur Verftigung zu stellen, gleichzeitig 
/k jedoch samtliche geheimhaltungsbedurf tigen Datenbestandteile 
Wff von der Ubertragung oder Betrachtung auszuschliefien. Dadurch 
kann ein Betrachter an einem Rechner, an den die Daten iiber- 
15 tragen werden, samtliche Daten und Prozesse der rechnerge- 
stutzten Anwendung einsehen und verfolgen. Gleichzeitig ist 
ihm jedoch die Moglichkeit zur nicht berechtigten Einsicht- 
nahme in geheimhaltungsbedurf tige Datenbestandteile verwehrt. 
Unter samtlichen Daten sollen dabei jegliche im Rechner ver- 
20 fugbaren Inf ormationen verstanden werden, z.B. Festspeicher- 
inhalte, Arbeitsspeicherinhalte oder Bildschirm- 
Anzeigeinhalte . Unter geheimhaltungsbedurf tigen Datenbestand- 
teilen sollen Daten wie Name, Alter, Adresse von Personen, 
ID' s, UID' s, Schlusselkennzeichen, Sozialversicherungsnummer , 
A2 5 Bankkontodaten, Finanzinf ormationen oder Umfragedaten ver- 
T standen werden. 

In einer vorteilhaf ten Ausgestaltung der Erfindung werden die 
geheimhaltungsbedurf tigen Datenbestandteile je nach Bedarf 

30 entweder geloscht, anonymisiert oder pseudonymisiert . Dabei 
soil unter Anonymisieren jegliche Unkenntlichmachung perso- 
nenbezogener Datenbestandteile verstanden werden, durch die 
Einzelangaben uber personliche oder sachliche Verhaltnisse 
nicht oder nur mit unverhaltnismaiiig groflem Aufwand an Zeit, 

35 Kosten und Arbeitskraft der zugehorigen Person zugeordnet 

werden konnen. Unter Pseudonymisierung soil die Unkenntlich- 
machung des Namens und anderer Identif ikationsmerkmale durch 
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ein Kennzeichen, um die Identif ikation der betroffenen Person 
auszuschliefien oder wesentlich zu erschweren. Dies hat den 
Vorteil, dass je nach Anwendung entsprechende Datenf elder 
entweder leer oder aber durch anonyme bzw. pseudonyme Anzei- 
5 geelemente befullt sind, die dem Betrachter einen Hinweis 
darauf geben, welche Art von Information an der jeweiligen 
Stelle platziert ist und an welchen Stellen Information zwar 
vorhanden, aber nicht einsehbar ist. 

' 10 In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
werden geheimhaltungsbedurf tige Datenbestandteile auch aus 
Bildschirminhalten oder den Inhalten anderer Anzeigeelemente 
eliminiert. Dadurch ergibt sich der Vorteil, dass ein ent- 
fernt sitzender Betrachter zur Analyse eines vor Ort arbei- 
15 tenden Systems auch interaktive Vorgange auf dem Bildschirm 
einsehen und mitverfolgen kann, ohne dabei Zugang zu geheim- 
haltungsbedurf tigen Daten zu erhalten. 

In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
20 erfolgt die Ferniibertragung von Daten auf Anforderung eines 
entfernt angeordneten Rechners, bei dem es sich um einen Ar- 
beitsplatz eines Service-Dienstleisters handelt, der eine 
Fernwartung des vor Ort arbeitenden Rechners vornehmen will. 
Dadurch kann trotz Vorhandensein geheimhaltungsbedurf tiger 
Daten sichergestellt werden, dass das Wartungspersonal jegli- 
^ chen hochspezialisierten Wartungsservices ohne Rucksichtnahme 
auf den jeweiligen Autorisierungs-Status in Anspruch genommen 
werden kann. Insbesondere ergibt sich die Moglichkeit zur 
schnellen und effizienten Fernwartung von Anwendungsrechnern 
30 mit geheimhaltungsbedurf tigen Daten auch durch wechselnde 

Wartungsservices. Die Nutzung wechselnder, unterschiedlicher 
Wartungsservices kommt in der praktischen Anwendung haufig 
vor . 

35 In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 

wird die Eliminierung geheimhaltungsbedurf tiger Datenbestand- 
teile durch ein Datenschutzmodul vorgenommen, das als Karte 
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in einem Anwendungsrechner integrierbar oder als eigenstandi- 
ges Gerat an einen Anwendungsrechner anschliefibar ist. Da- 
durch ergibt sich der Vorteil, dass nahezu jeder Rechnerar- 
beitsplatz bei Bedarf modular mit dem Datenschut zmodul aus- 
5 gestattet werden kann. So kann auch eine nachtragliche Aus- 
stattung bzw. die Anpassung der Funktionalitat des Anwen- 
dungsrechners bei wechselnden Anwendungsgebieten erfolgen. 

Weitere vorteilhafte Ausgestaltungen der Erfindung sind Ge- 
10 genstand der abhangigen Patent anspriiche . 

Nachfolgend werden Ausf lihrungsbeispiele der Erfindung anhand 
von Figuren erlautert. Es zeigen: 

15 Figur 1 Rechnersystem mit Datenschutz-Modulen gemalJ der Er- 
findung, 

Figur 2 Verfahren zur Ausflihrung der Erfindung, 

20 Figur 1 zeigt ein Rechnersystem mit Daten-Schutzmodulen 13 
gemafl der Erfindung. Das Rechnersystem ist eingebunden in ei- 
ne Arbeitsumgebung 1, in der mit sensiblen Daten gearbeitet 
wird, z.B. eine klinische Umgebung, eine Umgebung im Finanz- 
wesen oder in einem Umf rageinstitut . In dieser Arbeitsumge- 




bung 1 ist eine Workstation 3 als Bef undungs-Arbeitsplatz in- 
stalliert, die liber einen Bildschirm 4 verfugt und an der die 



Bearbeitung, Speicherung, Archivierung oder Verf ugbarmachung 
sensibler Daten erfolgt. 

30 Soweit die sensiblen Daten anderen Arbeitsplat zen innerhalb 
der Arbeitsumgebung 1 zur Verfligung gestellt werden, ge- 
schieht dies liber Kommunikationswege, die in Figur 1 nicht 
naher dargestellt sind, und die speziellen Datenschut zauf la- 
gen der Arbeitsumgebung geniigen. Die Workstation 3 verfugt 

35 jedoch auch liber einen Anschluss an Kommunikationswege, die 

den Austausch von Daten liber Kommunikationswege aufierhalb der 
Arbeitsumgebung 1 erlauben. Die Anbindung an diese Kommunika- 
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tionswege erfolgt liber ein Modem 9, wobei unter Modem hier 
ein Telefonmodem ebenso wie ein Funkmodem oder eine Netzwerk- 
verbindung verstanden werden kann. 

5 Da die Workstation 3 Zugriff auf sensible Daten hat, muss der 
unberechtigte Zugriff auf die Workstation 3 liber das Modem 9 
durch das Datenschutzmodul 13 kontrolliert bzw. unterbunden 
werden. Datenzugrif f e erfolgen dabei nur auf eine Anforderung 
zur Fernilbertragung oder Betrachtung hin, die das Daten- 

10 schutzmodul 13 in Aktion treten lassen. Auf diese Anforderun- 
gen hin wird kein direkter Zugriff auf die sensiblen Daten 
gewahrt, sondern das Datenschutzmodul 13 als Zwischeninstanz 
aktiviert. Die Aktivierung des Datenschutzmoduls 13 kann da- 
bei rollenabhangig erfolgen, d.h. abhangig von der Identitat 

15 des Anf ordernden, oder abhangig vom jeweiligen Datenzugang, 

d.h. abhangig von der internen oder externen Position des An- 
f ordernden, oder abhangig von der Eingabe eines Benutzers, 
der das Datenschutzmodul 13 direkt aktivieren kann. 

2 0 Das Datenschutzmodul 13 und das Modem 9 konnen in die Work- 
station als Steckkarten oder Einschiibe integriert sein und 
einen gemeinsamen hardwaremaBigen Aufbau bilden, was durch 
die gestrichelte Umrahmung 2 angedeutet ist. Die Komponenten 
konnen jedoch ohne Beeintrachtigung der Funktion als eigen- 
<^^J5 standige Gerate an die Workstation extern angeschlossen sein, 
^ auiierdem konnen Datenschutzmodul 13 und Modem 9 ihrerseits 
als gemeinsame Komponente integriert sein, was in der Figur 
nicht dargestellt ist. Aufierdem kann das Datenschutzmodul 13 
auch ein in die Workstation 3, in einen davon getrennten Ser- 

30 ver oder in das Modem 9 integriertes Sof tware-Modul sein. 

Dariiber hinaus kann auch die Abfolge von Datenschutzmodul 13 
und Modem 9 vertauscht sein, so dass das Modem 9 unmittelbar 
an die Workstation 3 angeschlossen ist und uber das Daten- 
schutzmodul 13 Verbindung zu den Kommunikationswegen aufier- 

35 halb der Arbeit sumgebung hat. 
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In der Arbeitsumgebung 1 kbnnen weitere rechnergestutzte Ar- 
beitsplatze installiert sein, die ebenfalls mit sensiblen Da- 
ten arbeiten, z.B. eine Modalitat 5, die der Erzeugung medi- 
zinisch-diagnostischer Bilddaten dient, oder ein klinischer 
5 Arbeitsplatz 7, der die Bearbeitung von Befunddaten und Medi- 
kationen mittels elektronischer Patientenakten ermoglicht. 
Weitere und je nach Arbeitsumgebung getrennt verschiedene 
rechnergestutzte Anwendungen sind denkbar, die allesamt mit 
sensiblen Daten arbeiten und innerhalb der Arbeitsumgebung 1 
10 uber in der Figur 1 nicht dargestellte Datennetze miteinander 
verbunden sein konnen. Fur jeden dieser Arbeitsplatze kann 
eine durch ein Datenschutzmodul 13 geschiitzte Datenverbindung 
zu auiierhalb der Arbeitsumgebung 1 verlaufenden Kommunikati- 
onswegen 11 liber ein Modem 9 hergestellt werden. 

15 

Soweit die Datenverbindungen zu externen Kommunikationswegen 
11 dem Austausch sensibler Daten einschlieiilich der geheim- 
haltungsbedurf tigen Datenbestandteile dienen, finden kryp- 
tografische Datenschutzmechanismen Verwendung, die nicht Ge- 

20 genstand der Erfindung sind. Es gibt jedoch eine Vielzahl von 
Datenverbindungen, die zwar zum Austausch der sensiblen Da- 
ten, nicht jedoch der geheimhaltungsbedurf tigen Datenbestand- 
teile, hergestellt werden. Eine Anwendung solcher Datenver- 
bindungen kann die Einsichtnahme in Daten im Rahmen eines Ex- 
pertensystems sein, bei dem klinische Experten auiierhalb der 
^ Arbeitsumgebung 1 hinsichtlich der nicht geheimhaltungsbe- 
diirftigen Datenbestandteile konsultiert werden sollen, dazu 
jedoch die geheimhaltungsbedurf tigen Datenbestandteile nicht 
benotigen. Datenverbindungen sind auch zu anderen Zwecken 

30 denkbar, z.B. zum Austausch allgemeiner Inf ormationen aus den 
Anwendungen heraus oder zur Herstellung von personlich nutz- 
baren Kommunikationsverbindungen ftir das Versenden von Email 
oder Ubertragen von Dateien, die keinen direkten Bezug zu den 
Anwendungen haben, jedoch Zugrif f smoglichkeiten auf den Rech- 

35 ner innerhalb der Arbeitsumgebung 1 eroffnen. 
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Datenverbindungen nach aufierhalb der Arbeitsumgebung 1 konnen 
insbesondere auch der Fernwartung der rechnergestut zten An- 
wendungen dienen, bei der z.B. die Versionsnummer installier- 
ter Software von aufien abgefragt wird, Software von aufien zu- 
5 gespielt wird, Fehlermeldungen von aufien eingesehen oder ein 
optimierungsbedurf tiges Rechnerverhalten von aufien beobachtet 
werden kann. Derartige Fernwartungsmafinahmen sind allgemein 
liblich, da die Einsichtnahme liber elektronische Datenverbin- 
dungen schnell erfolgen kann und gegebenenf alls auch die Kon- 

10 sultation weiterer Wartungsf achleute in einem Fernwartungs- 

Servicezentrum ermoglicht. Die Wartung bezieht sich dabei je- 

* weils auf die installierte Hardware oder Software und deren 
Funktionsweise, weswegen gegebenenf alls Anwendungsprogramme 
gestartet werden mlissen. Dabei sollte jedoch keine Einsicht- 

15 nahme durch Wartungsf achleute in geheimhaltungsbedlirf tige Da- 
ten erfolgen, um von deren Autorisierungs-Status unabhangig 
arbeiten zu konnen. 

Soweit eine Fernwartung der Anwendungs r e chne r der Arbeitsum- 
20 gebung 1 erfolgen soil, kann diese aus einem Fernwartungs- 

Zentrum 15 heraus erfolgen, das beispielsweise vom Hersteller 
der Software oder von einem speziellen Wartungsunternehmen 
betrieben wird* Die Verbindung zu einem solchen Wartungszent- 
rum 15 erfolgt liber die offentlichen Kommunikationswege 11, 
^2 5 mit denen das Fernwartungszentrum 15 ebenso liber ein Modem 9 
verbunden ist. Die Verbindung wird hergestellt von einer War- 
tungs-Workstation 17 mit Bildschirm 19, von der ein Wartungs- 
fachmann Zugriff auf den zu wartenden Rechner, die darauf in- 
stallierte Software und alle nicht durch das Datenschut zmodul 
30 13 geschlitzten Daten darauf hat. Im Rahmen dieses Zugriff s 
konnen Daten eingesehen werden, Anwendungen auf dem Anwen- 
dungsrechner 3, 5, 7 gestartet werden, die Bildschirminhalte 
des Anwendungsbildschirms 4 betrachtet werden oder Wartungs- 
programme am Anwendungsrechner 3, 5, 7 oder auf der Wartungs- 
35 workstation 17 gestartet werden. 
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Der Wartungszugrif f ist jedoch nicht nur aus einem Service- 
zentrum 15 heraus moglich, sondern auch von anderen Service- 
rechnern aus, z.B. von einem Notebook 21, das ebenfalls iiber 
ein Modem 9 mit dem Anwendungsrechner 3, 5, 7 Verbindung auf- 
5 nehmen kann. Dabei stehen dieselben Funktionalitaten wie aus 
dem Servicezentrum 15 heraus zur Verfiigung, was insbesondere 
die Betrachtung der Bildschirminhalte des Anwendungsbild- 
schirms 4 am Notebookbildschirm 23 beinhaltet. Die Wartung 
durch ein Notebook 21 oder ein ahnliches portables Gerat er- 
10 laubt jedoch auch einen Wartungseinsatz vor Ort, der insbe- 
sondere bei der Berlicksichtigung von Hardware-Fragen zu War- 
tungszwecken erforderlich sein kann. Zu diesem Zweck gestat- 
tet das Modem 9 das Herstellen einer Datenverbindung nicht 
nur liber offentliche Kommunikationswege 11, sondern auch in 
15 direkter Verbindung zu einem entsprechenden Modem oder An- 
schluss am Anwendungsrechner 3, 5, 7. Auch ein derartiger 
Wartungszugrif f vor Ort in der Arbeitsumgebung 1 wird jedoch 
durch ein Datenschutzmodul 13 geschiitzt, da der Wartungsf ach- 
mann auch vor Ort keinen Einblick in geheimhaltungsbedurf tige 
20 Daten erhalten darf. 

Die Verwendung eines Wartungs-Notebooks 21 iiber eine durch 
ein Datenschutzmodul 13 geschutzte Verbindung ermoglicht es 
dabei, einen Anbindungsrechner zu warten, ohne dessen Anwen- 
^^5 dungsbildschirm 4 einsehen zu mussen, auf dem geheimhaltungs- 
bedurf tige Daten angezeigt sein konnen. Statt dessen besteht 
jedoch auch die Moglichkeit, die auf dem Anwendungsbildschirm 
4 dargestellten Inhalte ebenfalls durch das Datenschutzmodul 
13 schutzen zu lassen, falls eine Wartung erfolgen soil. Zu 
30 diesem Zweck muss das Datenschutzmodul 13 in den Anwendungs- 
rechner 3 bzw. in die Verbindung zwischen Anwendungsrechner 3 
und Anwendungsbildschirm 4 integriert sein. Der Datenschutz 
fur Bildschirminhalte kann dann mittels Knopfdruck aktiviert 
werden, falls eine Wartung erfolgen soil. 



35 



Das Datenschutzmodul 13 ubernimmt die Aufgabe, die Einsicht- 
nahme in geheimhaltungsbedurf tige Datenbestandteile zu ver- 
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hindern. Dabei sollen jedoch Anwendungsprogramme, die auf ge- 
heimhaltungsbediirf tigen Daten basieren, ausfuhrbar bleiben 
und sonstige Dateninhalte des Rechners zu Analyse frei zu- 
ganglich sein. Dies ist insbesondere zur Optimierung oder 
5 Wartung von Anwendungsprogrammen erf orderlich, soweit Schwa- 
chen oder Fehler zu analysieren sind, die nur im Betrieb der 
Anwendungsprogramme unter Verwendung sensibler Daten beob- 
achtbar sind. Zu diesem Zweck konnen liber das Datenschutzmo- 
dul 13 grundsatzlich samtliche Daten und Bildschirminhalte 
10 ubertragen werden. Vor der Obertragung identif iziert das Da- 
tenschut zmodul 13 jedoch geheimhaltungsbediirf tige Datenbe- 
standteile der zu iibertragenden Daten. Solche Datenbestand- 

.- t 

konnen insbesondere samtliche personlichen oder demo- 
graphischen Inf ormationen sein, z.B. der Name von Patienten 

15 oder Kunden, ID's, UID's, Schlusselkennzeichen, Sozialversi- 
cherungsnummer, das Geburtsdatum, die Adresse, Bankverbindun- 
gen, Inf ormationen zum finanziellen Status oder Ergebnisse 
von kritischen Umfragen oder statistischen Auswertungen . Von 
besonderer Bedeutung ist die Geheimhaltung personlicher In- 

20 formationen im medizinischen Umfeld, wo in Form elektroni- 
scher Patientenakten vollstandige Inf ormationen zur Person- 
lichkeit, Pathogenese und Diagnose von Patienten vorliegen. 
Hier wird mit sehr komplexen Anwendungsrechnern an besonders 
sensiblen Daten gearbeitet. Gleichzeitig ist der optimale Zu- 
^25 stand der Anwendungsrechner im medizinischen Umfeld eine 

zwingende Vorausset zung, die eine besonders effiziente und 
intensive Wartung der Systeme unumganglich macht. 

Bei der Ubertragung von Patientenakten oder Dateien vorgege- 
30 bener Formate identif iziert das Datenschutzmodul 13 Datenfel- 
der innerhalb der Dateien oder Akten, die geheimhaltungsbe- 
durftige Datenbestandteile enthalten. Dazu hat das Daten- 
schutzmodul 13 Zugriff auf einen integrierten oder ange- 
schlossenen Speicher, der eine Zuordnung von Datenf ormaten 
35 und darin enthaltenen, geheimhaltungsbedurf tigen Datenfeldern 
enthalt, bzw. die Erkennung solcher Datenfelder an den Daten- 
f eld-Kennzeichnungen ermoglicht. Der Speicher kann insbeson- 
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dere ein in das Datenschutzmodul 13 integrierter , nicht 
loschbarer Speicher, z.B. ein Flash, ein EPROM oder ein 
EEPROM sein. Es kann sich jedoch auch urn eine Festplatte han- 
deln. Soweit Dateien oder elektronische Akten iibertragen wer- 
5 den, erfolgt dies uber ein Kommunikationsprotokoll , das durch 
das Datenschutzmodul 13 unterstutzt wird, z.B. TCPIP oder 
FTP. Daruber hinaus unterstutzt das Datenschutzmodul 13 die 
Dateiformate der zu ubertragenden Daten. Eine Obertragung von 
Daten in nicht unterstutzten Dateif ormaten oder Kommunikati- 
10 onsprotokollen ist nicht moglich. 

Das Datenschutzmodul 13 hat weiter Zugriff auf eine Referenz- 
datenbank, die geheimhaltungsbedtirf tige Daten enthalt. Damit 
ist es moglich, die zu ubertragenden Daten mit dem Inhalt der 

15 Ref erenzdatenbank zu vergleichen, urn geheimhaltungsbedtirf tige 
Datenbestandteile zu erkennen. Die Ref erenzdatenbank kann da- 
bei Daten enthalten, die beim Anlegen von Dateien und Akten 
innerhalb der Arbeitsumgebung 1 einen Vermerk erhalten, der 
auf die Geheimhaltungsbedtirf tigkeit hinweist. Dieser Vermerk 

20 bewirkt, dass die entsprechenden Daten in die Ref erenzdaten- 
bank geftillt werden. In einem Datenbanksystem konnten die 
entsprechenden Daten in der Ref erenzdatenbank gespeichert 
werden und von den Anwendungen jeweils aus dieser Datenbank 
abgerufen werden. Bei der Ref erenzdatenbank kann es sich z.B. 
^g^25 urn eine Personendatenbank handeln, zu deren Schutz gesonderte 
Datenschutzmaiinahmen angesetzt werden konnen. Das Daten- 
schutzmodul 13 unterbindet die Obertragung von Daten, die in 
der Ref erenzdatenbank vorkommen, vollstandig. 

30 Die Ref erenzdatenbank kann auch eine Liste moglicher geheim- 
haltungsbedtirf tiger Inf ormationen enthalten, die unabhangig 
von der Arbeitsumgebung 1 angelegt ist. Beispielsweise kann 
zum Schutz personenbezogener Daten eine Ref erenzdatenbank in- 
stalliert sein, die ein Verzeichnis samtlicher bekannter Vor- 

35 namen und Nachnamen enthalt, und zwar unabhangig davon, ob 
der jeweilige Name in der Arbeitsumgebung 1 verwendet wird 
oder nicht. Damit ist gewahrleistet , dass das Datenschutzmo- 
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dul 13 durch Vergleich rait der Ref erenzdatenbank die Obertra- 
gung jeglichen Namens unterbinden kann. In vergleichbarer 
Weise kann eine Ref erenzdatenbank samtlicher medizinisch- 
diagnostischer Befunde, kritischer Begriffe des Finanzwesens 
5 oder kritischer demographischer Begriffe angelegt sein. 

Das Datenschutzmodul 13 hat weiter Zugriff auf einen Spei- 
cher, in dem Suchmasken fur geheimhaltungsbedur f tige Datenbe- 
standteile angelegt sind. Dabei kann es sich z.B. urn Datums- 

10 suchmasken fur gangige Datums formate handeln, wie ##.##.####, 
##/##/## oder ## .mmm. #### . Es konnen auch Suchmasken fur Ad- 
ressangaben angelegt sein, die z.B. typische Kombinationen 
{Jpfc* von Strafienname und Strafiennummer oder Postleitzahl und Ort 
sowie Landesangaben erkennen. Aufterdem konnen Suchmasken fur 

15 Umsatzdaten anhand der Angabe von Wahrungen erkannt werden 
oder Suchmasken zum Ausschluss jeglicher Ziffer oder jegli- 
chen Buchstabens verwendet werden. 

Weiter untersttitzt das Datenschutzmodul 13 auch die Obertra- 
20 gung von Daten, die Bildschirminhalte oder Videoframes repra- 
sentieren. Diese aktuell angezeigten oder im Graphikspeicher 
gespeicherten Bildschirmdarstellungen konnen ebenfalls zu 
Zwecken der Fernwartung oder Schulung oder ganz einfach Ein- 
sichtnahme ubertragen werden, um z.B. interaktive Prozesse 
^25 oder Bildschirmmeldungen fern einsehbar zu machen. Da sie ge- 
' heimhaltungsbedurf tige Datenbestandteile des Anwendungsrech- 

ners 3, 5, 7 beinhalten konnen, ist ihre Obertragung eben- 
falls vor unberechtigter Einsichtnahme zu schtitzen. 

30 Dazu verfiigt das Datenschutzmodul liber Routinen, die die Er- 
kennung dieser Datenbestandteile auch in Bildschirminhalten 
ermoglichen. Die Bildschirminhalte liegen jedoch nicht in lib- 
lichen Datenf ormaten, wie z.B. ASCII vor, sondern mussen ei- 
gens durch Datenerkennungsprogramme analysiert werden. Zu 

35 diesem Zweck werden die Bildschirmdaten in analoger Weise wie 
bei OCR-Programmen so weit moglich in ASCII-Daten zurtickver- 
wandelt, soweit sie nicht in ASCI I-verwandten Datenf ormaten 
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ubertragen werden. Die ASCII-verwandten oder in ASCII zuriick 
iiberfuhrten Bildschirminhalte werden ebenso wie die zu uber- 
tragenden * Dateien und elektronischen Akten unter Verwendung 
von Suchmasken oder Ref erenzdatenbanken auf geheimhaltungsbe- 
durftige Datenbestandteile durchsucht. Das Datenschutzmodul 
13 behandelt Bildschirminhalte und Videoframes also in ver- 
gleichbarer Weise wie Dateien und elektronische Akten., Ge- 
heimhaltungsbedurf tige Datenbestandteile, die durch das Da- 
tenschutzmodul 13 erkannt werden, werden aus dem zu ubertra- 
genden Daten entweder geloscht, anonymisiert oder pseudonomy- 
siert . 

Bildschirminhalte konnen zusatzlich in wesentlich einfacherer 
Weise vor deren Darstellung auf dem Bildschirm 19, 23 gepruft 
und geschiitzt werden. Dazu identif iziert das Datenschutzmodul 
13 geheimhaltungsbedlirf tige Datenbestandteile bereits vor de- 
ren Sichtbarmachung der dar zustellenden Daten und eliminiert 
sie. Das Aufbauen von Bildschirminhalten erfolgt dann erst im 
Anschluss an die Bearbeitung durch das Datenschutzmodul 13. 
Dadurch wird ein zuverlassiger Schutz der sensiblen Daten 
auch bei Ubertragung von Bildschirminhalten gewahrleistet , 
ohne dass besondere Routinen z.B. zum Analysieren von Pixel- 
basierten Video-Frames erforderlich waren. 

Insbesondere bei Ubertragung von Dateien oder Akten mit fest 
vorgegebenen Datenfeldern fiihrt das Loschen von Datenbestand- 
teilen dazu, dass der Empfanger Dateien mit teilweise leeren 
Datenfeldern enthalt. Durch die fest vorgegebenen Formate der 
Dateien oder Akten wird der Kontext der Information durch L6- 
schung jedoch nicht verandert, so dass die ubertragenen In- 
formationen fiir den Empfanger gut lesbar bleiben. In bestimm- 
ten Situationen kann es jedoch erforderlich sein, dass der 
Empfanger einen Hinweis darauf enthalt, dass und an welcher 
Stelle Datenbestandteile von der Ubertragung ausgeschlossen 
wurden. Zu diesem Zweck verfiigt das Datenschutzmodul 13 uber 
Routinen, die die von der Ubertragung auszuschlieftenden Daten 
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nicht loschen sondern entweder anonymisieren oder pseudonymi- 
sieren . 

Bei der Anonymisierung sollen jegliche personenbezogene Da- 
tenbestandteile iiber personliche oder sachliche Verhaltnisse 
unkenntlich oder nicht mehr zuordenbar gemacht werden. Dazu 
kann z.B. anstelle der geloschten Daten eine Zensur-Maske u- 
berblendet werden, z.B. anstelle jeder geloschten Ziffer eine 
Raute oder anstelle jedes geloschten Buchstabens ein x. Au- 
fierdem sind Unkenntlichmachungen in Form von Schwarzungen o- 
der vom Inhalt unabhangigen Zensurmasken moglich. Bei der 
Pseudonymisierung werden Namen und andere Identif ikations- 
merkmale durch ein Kennzeichen ersetzt, urn die Identif ikation 
der betroffenen Person unmoglich zu machen. Anstelle der per- 
sonenbezogenen Datenbestandteile wird also jeweils ein Pseu- 
donym ubertragen, z.B. „Max Mustermann* , „Prename Name* oder 
^ID 1 Oder „UID* . 

Sowohl Anonymisierung als auch besonders Pseudonymisierung 
signalisieren dem Empfanger der tibertragenen Daten zum einen, 
welche Art von Daten von der Ubertragung ausgeschlossen wur- 
den, also ob es sich urn Namen, Adressen, Geburtsdaten oder 
ahnliches handelt, zum anderen erhalt er eine Information 
daruber, an welcher Position der tibertragenen Daten Datenbe- 
standteile ausgeschlossen wurden. Diese Information kann ins- 
besondere bei der Wartung von Anwendungsprogrammen wichtig 
sein, deren Funktionsweise davon abhangen kann, ob bestimmte 
Datenfelder befullt sind oder ob bestimmte Inf ormationen zur 
Verfugung stehen. 

Das Datenschutzmodul 13 weist insbesondere fur Fernwartungs- 
zwecke die Moglichkeit auf, Datenanf ragen entgegenzunehmen 
und zu bearbeiten. Zu diesem Zweck kann es liber eine Daten- 
verbindung die Anfrage eines Fernwartungs-Rechners 17 entge- 
gennehmen. Mit der Anfrage werden Identif ikationsdaten des 
Fernwartungsrechners 17 ubertragen, die das Datenschutzmodul 
13 durch Vergleich mit Identif ikationsdaten pruft, die es aus 
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einem Identif ikationsspeicher abruft. Der Identif ikations- 
speicher ist in das Datenschutzmodul 13 als nicht loschbarer 
Speicher integriert oder als externer Speicher, z.B. im An- 
wendungsrechner, zugreifbar. Konnte der Fernwartungsrechner 
5 17 identif iziert werden, leitet das Datenschutzmodul 13 die 
Datenanfrage an den Anwendungsrechner 3, 5, 7 uber eine dafiir 
vorgesehene Datenverbindung weiter. Daraufhin nimmt es die zu 
iibertragenden Daten uber eine dafiir vorgesehene Datenverbin- 
dung entgegen und leitet sie an den Fernwartungsrechner 17 
10 weiter, wobei geheimzuhaltende Datenbestandteile von der 0- 
bertragung ausgeschlossen werden. 




Figur 2 zeigt ein Verfahren fur die Fernubertragung von sen- 



siblen Daten gemali der Erfindung. In Schritt 31 erfolgt die 
15 Anforderung von Daten durch einen entfernt bzw. getrennt an- 
geordneten Rechner 17, 21 oder einen Benutzer einer bestimm- 
ten Rolle, d.h. eines bestimmten Autorisierungsstatus , an ei- 
nen Anwendungsrechner 3, 5, 7 zur Fernubertragung oder Be- 
trachtung von Daten. In Schritt 33 wird gepruft, ob die voll- 
20 standige Ubertragung samtlicher Daten an den anfragenden 

Rechner gestattet ist, gegebenenf alls erfolgt diese vollstan- 
dige Ubertragung in Schritt 35, andernfalls wird in Schritt 
37 gepruft, ob die zu iibertragenden Daten sensible Datenbe- 
standteile enthalten. Die Uberpriifung auf sensible Datenbe- 
^25 standteile erfolgt entweder anhand einer entsprechenden Ken- 
nung der zu iibertragenden Dateien oder Akten oder aber anhand 
der Verwendung von Suchmasken oder durch Vergleich mit dem 
Inhalt von Ref erenzdatenbanken. 

30 In Schritt 39 werden samtliche geheimhaltungsbediirf tige Da- 
tenbestandteile der zu iibertragenden Daten auf diese Weise 
erkannt und in Schritt 41 entweder geloscht, anonymisiert o- 
der pseudonymisiert • Welche der drei Moglichkeiten durchge- 
fuhrt wird und welche Formate oder Pseudonyme verwendet wer- 

35 den, wird dabei anhand der in einer Datenbank 42 enthaltenen 
Anonymi s i erungs -Vo r gaben ermittelt. Dabei wird abhangig von 
der Art der zu iibertragenden Daten, z.B. ob es Dateien oder 
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Kommunikationsdaten wie E-Mail oder Chat sind, und abhangig 
vom Inhalt der Daten, z.B. ob es Patientenakten oder Bildda- 
ten sind, entschieden, welche der drei Varianten gewahlt 
wird. 

5 

Im folgenden Schritt 43 wird gepriift, ob die zu ubertragenden 
Daten Bildschirmdaten oder Videof rames enthalten. Gegebenen- 
falls wird in Schritt 45 anhand geeigneter Routinen unter- 
sucht, ob diese Bildschirminhalte oder Videoframes geheimhal- 
10 tungsbediirf tige Daten in einem ASCII-verwandten Format oder 

in einem auf ASCII zuruckgef uhrten Format enthalten. Falls ja 
werden diese geheimhaltungsbedur f tigen Daten in Schritt 47 
erkannt und im folgenden Schritt 49 von der Ubertragung aus- 
geschlossen. Zu diesem Zweck wird auf eine Anonymisierungsda- 
15 tenbank 51 zugegriffen, die Vorgaben daruber enthalt, ob und 
in welcher Art die geheimhaltungsbediirf tigen Datenbestandtei- 
le geloscht, anonymisiert oder pseudonomysiert werden sollen. 
In Schritt 53 erfolgt die Ubertragung der angef orderten Da- 
ten, wobei samtliche geheimhaltungsbediirf tigen Datenbestand- 
20 teile durch das vorangegangene Verfahren von der Ubertragung 
ausgeschlossen wurden. 

Das Verfahren gemali der Erfindung eignet sich in besonderer 
Weise fur die Fernwartung von Anwendungsrechnern 3, 5, 7 in 
j25 Arbeitsumgebungen 1 mit sensiblen Daten, da das Verfahren in 
Schritt 31 durch die Fernabfrage eines Fernwartungsrechners 
17 initiiert werden kann. Zu diesem Zweck kann eine Identifi- 
kation des Fernwartungsrechners an den Anfang des Verfahrens 
gestellt werden, durch die sichergestellt werden kann, dass 
30 nur authorisierte Fernwartungsrechner 17, 21 Zugriff auf die 
sensiblen Daten und Anwendungsrechner 3, 5, 7 erhalten. 



200217067 



18 

Patent anspruche 

1 . Verf ahren fur die Fernubertragung und/oder Betrachtung 
sensibler Daten (53) eines Anwendungs-Rechners (3, 5, 7) 
5 dadurch gekennzeichnet, dass die Fern- 
ubertragung und/oder Betrachtung der sensiblen Daten angefor- 
dert wird, dass geheimhaltungsbedur f tige Datenbestandteile 
der angef orderten Daten, z.B. Daten zur Identif izierung von 
Personen, identif iziert werden, und dass die identif izierten 
10 Datenbestandteile von der Fernubertragung (53) und/oder Be- 
trachtung ausgeschlossen werden (41, 49). 



2. Verf ahren nach Anspruch 1 

dadurch gekennzeichnet, dass die iden- 
15 tifizierten Datenbestandteile durch Loschung, Anonymisierung 
und/oder Pseudonymisierung (41, 49) ausgeschlossen werden, 

3. Verf ahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, dass die ge- 

20 heimhaltungsbediirf tigen Datenbestandteile durch Vergleich mit 
dem Inhalt einer Ref erenzdatenbank, z.B. Namensdatenbank, Ad- 
ressdatenbank und/oder Personendatenbank, identif iziert wer- 
den. 



m 



5 4 . Verf ahren nach einem der vorhergehenden Anspruche 

dadurch gekennzeichnet, dass die ge- 
heimhaltungsbedurf tigen Datenbestandteile durch Vergleich mit 
einer Suchmaske, z.B. fur ein Datumsangaben-Format und/oder 
ein Adressangaben-Format , identif iziert werden. 

30 

5. Verf ahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, dass die ge- 
heimhaltungsbedur f tigen Datenbestandteile anhand ihrer Posi- 
tion innerhalb der sensiblen Daten, z.B. in einem Namens- 
35 Datenfeld und/oder einem Adress-Datenf eld, identif iziert wer- 
den . 
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6. Verfahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, dass die sen- 
siblen Daten einen Bildschirminhalt und/oder ein Video-Frame 
umf assen. 

7. Verfahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, dass die Daten 
auf Anforderung (31) eines entfernt angeordneten Rechners 
(17) zur Fernwartung des Anwendungs-Rechners ubertragen (53) 
werden . 

8. Datenschutz-Modul (13) fiir die Ferniibertragung und/oder 
Betrachtung sensibler Daten eines Anwendungs-Rechners (3, 5, 
7) 

dadurch gekennzeichnet, dass die Fern- 
iibertragung und/oder Betrachtung sensibler Daten anforderbar 
ist, dass die sensiblen Daten in Abhangigkeit von einer sol- 
chen Anforderung vom Anwendungs-Rechner (3, 5, 7) an das Da- 
tenschutz-Modul (13) ubertragbar sind, dass durch das Daten- 
schutz-Modul ( 13 ) geheimhaltungsbedurf tige Datenbestandteile 
der Daten, z.B. Name, Alter und/oder Adresse, identif izierbar 
sind, und dass die identif izierten Datenbestandteile durch 
das Datenschutz-Modul (13) von der Ferniibertragung (53) 
und/oder Betrachtung ausschlieiibar (41, 49) sind, 

9. Datenschutz-Modul (13) nach Anspruch 8 

dadurch gekennzeichnet, dass es als 
Karte ausgefiihrt ist, die in den Anwendungs-Rechner (3, 5, 7) 
einsteckbar ist, oder als Gerat, das an den Anwendungs- 
Rechner (3, 5, 7) anschlieflbar ist, oder als integraler Be- 
standteil des Anwendungs-Rechners (3, 5, 7). 

10. Datenschutz-Modul (13) nach Anspruch 8 oder 9 
dadurch gekennzeichnet, dass die iden- 
tifizierten Datenbestandteile durch das Datenschutz-Modul 
(13) loschbar, anonymisierbar und/oder pseudonymisierbar (41, 
49) sind. 
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11. Datenschutz-Modul (13) nach Anspruch 8, 9 oder 10 
dadurch gekennzeichnet, dass es Zugriff 
auf eine Ref erenzdatenbank, z.B. Namensdatenbank, Adressda- 
5 tenbank und/oder Personendatenbank, hat, und dass durch das 
Datenschutz-Modul (13) die geheimhaltungsbediirf tigen Datenbe- 
standteile durch Vergleich mit dem Inhalt der Ref erenzdaten- 
bank identif izierbar sind. 

10 12. Datenschutz-Modul (13) nach Anspruch 8, 9, 10 oder 11 

dadurch gekennzeichnet, dass es Zugriff 
auf einen Suchmaskenspeicher, z.B. fur eine Datums-Suchmaske 
und/oder eine Adressangaben-Suchmaske, hat, und dass durch 
das Datenschutz-Modul (13) die geheimhaltungsbediirf tigen Da- 
15 tenbestandteile durch Vergleich mit dem Inhalt einer Suchmas- 
ke identif izierbar sind. 

13. Datenschutz-Modul (13) nach Anspruch 8, 9, 10, 11 oder 12 
dadurch gekennzeichnet, dass die ge- 

20 heimhaltungsbedurf tigen Datenbestandteile der Daten durch das 
Datenschutz-Modul (13) anhand ihrer Position innerhalb der 
sensiblen Daten, z.B. in einem Namens-Datenf eld und/oder ei- 
nem Adress-Datenf eld, identif izierbar sind. 

14. Datenschutz-Modul (13) nach Anspruch 8, 9, 10, 11, 12 o- 
der 13 

dadurch gekennzeichnet, dass die ge- 
heimhaltungsbediirf tigen Datenbestandteile durch das Daten- 
schutz-Modul (13) in sensiblen Daten, die einen Bildschirmin- 
30 halt und/oder ein Video-Frame reprasentieren, identif izierbar 
sind. 

15. Datenschutz-Modul (13) nach Anspruch 8, 9, 10, 11, 12, 13 
oder 14 

35 dadurch gekennzeichnet, dass es einen 
Daten-Anschluss aufweist, uber den eine Anforderung eines 
entfernt angeordneten Rechners (17, 21) zur Obertragung der 
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sensiblen Daten empfangbar ist, dass es einen Daten-Anschluss 
aufweist, liber den diese Anforderung an einen Anwendungs- 
Rechner (3, 5, 7) ubertragbar ist, dass es einen Daten- 
Anschluss aufweist, iiber den die sensiblen Daten vom Anwen- 
5 dungs-Rechner (3, 5, 7) empfangbar sind, und dass es einen 
Daten-Anschluss aufweist, iiber den Daten an den entfernt an- 
geordneten Rechner (17, 21) ubertragbar sind. 

16. Datenschutz-Modul (13) nach Anspruch 15 

10 dadurch gekennzeichnet, dass es Zugriff 
auf einen Speicher hat, der Identif ikations-Daten zur Identi- 
fication eines entfernt angeordneten Wartungs-Rechners (17, 
21) enthalt, dass durch das Datenschutz-Modul (13) ein Rech- 
ner (17, 21) unter Verwendung der Identif ikations-Daten iden- 

15 tifizierbar ist, und dass Daten nur in Abhangigkeit vom Er- 
gebnis der Identif ikation an einen entfernt angeordneten 
Rechner (17, 21) ubertragbar sind. 
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Zusammenf as sung 

Verfahren und Vorrichtung fur die Ferniibertragung sensibler 
Daten 

Die Erfindung betrifft ein Verfahren fur die Ferniibertragung 
und/oder Betrachtung sensibler Daten (53) eines Anwendungs- 
Rechners (3, 5, 7) . Gemafi der Erfindung erfolgt die Fernuber 
tragung und/oder Betrachtung der sensiblen Daten auf Anforde 
rung. Vor der Ferniibertragung (53) und/oder Betrachtung wer- 
den geheimhaltungsbedurf tige Datenbestandteile der angefor- 
derten Daten,. z.B. Daten zur Identif izierung von Personen, 
identif iziert und eliminiert (41, 49) . Die Erfindung betriff 
aufierdem ein Datenschut z-Modul (13) fur die Ferniibertragung 
und/oder Betrachtung sensibler Daten eines Anwendungs- 
Rechners (3, 5, 7) . Gemaft der Erfindung ist die Ferniibertra- 
gung und/oder Betrachtung sensibler Daten anforderbar. Auf 
eine solche Anforderung hin sind die sensiblen Daten vom An- 
wendungs-Rechner (3, 5, 7) an das Datenschut z-Modul (13) u- 
bertragbar . Geheimhaltungsbedurf tige Datenbestandteile der 
Daten, z.B. Name, Alter und/oder Adresse, sind durch das Da- 
tenschutz-Modul (13) identif izierbar und von der Ferniibertra 
gung (53) und/oder Betrachtung ausschlieflbar (41, 49) . 



FIG 1 



